Idee chiare sulla Privacy

Il nuovo codice sulla privacy, il Decreto Legislativo n. 196 del 30 giugno 2003, entrato in vigore il 1 gennaio 2004 comporta per tutti i soggetti che trattano dati (imprese, associazioni, enti etc.) una pluralità di adempimenti. Ma ad un anno dall’entrata in vigore del codice sono ancora molti quelli che non hanno le idee chiare su cosa devono fare per adeguarsi alla normativa. Cerchiamo di svelare i principali dubbi rispondendo ad una serie di domande.

Mi hanno detto che nella mia azienda non dobbiamo fare niente per la privacy perché non trattiamo dati sensibili: è vero?
Assolutamente no! L'obbligatorietà dell'adeguamento alla nuova normativa coinvolge tutti coloro che, per l'espletamento della loro attività, trattano dati personali (enti pubblici, liberi professionisti, aziende, comuni, scuole, ospedali, cooperative e associazioni) stabilendo adempimenti diversi a seconda della tipologia di dati trattati (dati personali, dati sensibili e dati giudiziari).
E’ evidente che nell’ambito di qualsiasi attività aziendale vengono necessariamente trattati dati: dati di clienti e fornitori ai fini dell’assolvimento di obblighi contabili e amministrativi; dati dei dipendenti e/o collaboratori dell’azienda ai fini della compilazione dei cedolini paga e dell’assolvimento degli obblighi in materia previdenziale.
In relazione a questa tipologia di trattamento si ricade nell’ipotesi di trattamento di dati “sensibili”, considerato che perverranno all’azienda certificati medici per malattie o certificati per infortuni, richieste di permessi per funzioni elettorali ai seggi, richieste di permessi per festività religiose, certificati di gravidanza.
Anche se un’azienda non tratta dati sensibili (consideriamo ad esempio un’azienda senza dipendenti) è comunque tenuta ad una serie di adempimenti tra i quali ricordiamo l’informativa ai clienti e ai fornitori, l’individuazione di tutti coloro che in azienda trattano dati, da nominare incaricati definendo le opportune istruzioni, la nomina del custode delle copie delle credenziali, l’adozione delle misure minime, la regolazione dei rapporti con i soggetti che esternamente trattano i dati per conto dell’azienda (ad esempio il commercialista).
Se l’azienda tratta anche dati sensibili a questi adempimenti se ne aggiungeranno altri tesi a garantire una maggior tutela del dato e se il dato sensibile è trattato elettronicamente occorrerà predisporre le “ulteriori misure minime” che la legge prevede.

Per ora non ho fatto niente, tanto c’è la proroga!
Assolutamente sbagliato! In effetti sono molti a credere che la proroga investa tutti gli adempimenti; in realtà sono prorogate soltanto le nuove misure minime di sicurezza introdotte col D. Lgs. 196/2003. Questo significa che tutte le misure previste dalla vecchia normativa non godono della proroga. Ad esempio: il sistema di autenticazione e autorizzazione; la designazione degli incaricati; la nomina dei responsabili esterni; la protezione dai virus e dagli accessi non consentiti; l’informativa (ed il consenso nei casi previsti); sono obblighi che devono essere pienamente rispettati per i quali la proroga non vale. Quindi occorre provvedere quanto prima per evitare di incorrere nelle sanzioni previste.

Ma, in sostanza, quali sono gli adempimenti?
Possiamo definire tre tipologie di adempimenti: adempimenti organizzativi, adempimenti nei confronti dei soggetti di cui si trattano i dati, adempimenti informatici e tecnici

Che devo fare a livello organizzativo?
La legge prevede la definizione di un vero e proprio modello di “corporate governance” per assicurare che il sistema Privacy sia sotto controllo ed operi correttamente. Il modello organizzativo, improntato su una gerarchia piramidale, vede al vertice il titolare del trattamento, seguono i responsabili dei vari trattamenti (figure che il titolare ha la facoltà, e non l’obbligo, di designare), gli incaricati del trattamento (ovvero tutte le persone, solitamente lavoratori dipendenti, che sono autorizzate a compiere operazioni di trattamento secondo le istruzioni impartite dal titolare o dal responsabile).
Il titolare, inoltre, è tenuto a regolare i rapporti coi soggetti esterni che, nell’esercizio degli incarichi a loro affidati, trattano dati: è il caso del commercialista, del consulente del lavoro, della software house che effettua la manutenzione dei sistemi informatici, della ditta che svolge le pulizie.
Definito l’organigramma privacy occorre andare ad individuare “chi fa che cosa” ovvero per ogni incaricato o gruppo di incaricati, identificare quali sono i dati che, nello svolgimento delle mansioni affidate, vengono trattati e con quali strumenti (informatici e non).
La legge non regola soltanto il trattamento elettronico dei dati ma anche i trattamenti cartacei: gli incaricati dovranno quindi ricevere indicazioni su come trattare sia i dati elettronici che i dati cartacei. Regole sintetiche in merito al trattamento sono contenute nella lettera di incarico; maggiori dettagli sono definiti nel corso di interventi formativi cui, obbligatoriamente, devono partecipare per tutti gli incaricati. Lo scopo della formazione è rendere tutti gli incaricati edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare.

E in relazione ai clienti, fornitori, dipendenti…che devo fare?
Definiti gli aspetti organizzativi occorre andare a regolare i rapporti tra il titolare del trattamento e i soggetti di cui questo tratta i dati. Da questo punto di vista occorrerà predisporre un'informativa (con eventuale consenso nei casi richiesti) per tutte le categorie di soggetti con cui l’impresa ha rapporti.
Nello specifico occorrerà predisporre un’informativa in merito alle finalità e modalità del trattamento, all’obbligatorietà o meno del conferimento dei dati e alle conseguenze di un eventuale rifiuto, ai diritti esercitabili dall’interessato.
Ma attenzione! l’informativa deve essere presente anche nell’ipotesi di raccolta di dati mediante la compilazione di un form all’interno di un sito internet (informativa da collocare in calce alla pagina o in un apposito pop-up).
Per taluni trattamenti (come, ad esempio quelli relativi ai dati dei dipendenti) vi è invece l’obbligo di richiesta del consenso: il consenso, preceduto dall’informativa, dev’essere espresso in forma specifica per ogni trattamento e documentato per iscritto.
Da notare infine che le aziende spesso trattano ulteriori tipologie di dati; oltre a quelli di clienti, fornitori e dipendenti l’azienda può trattare dati di potenziali clienti (pensiamo ad un elenco di nominativi acquistati dalla camera di commercio da contattare attraverso l’attività di marketing) o dati di candidati in cerca di lavoro.
In merito ai primi occorre richiedere il preventivo consenso se l’attività di marketing è svolta attraverso sistemi automatizzati (fax, mail, sms); se invece si procede ad un invio, ad esempio di una brochure aziendale o di un’offerta promozionale, per posta, occorre allegare l’informativa. Per quel che riguarda i colloqui di lavoro è opportuno predisporre un modulo, da far compilare al candidato in sede di colloquio, in cui viene richiesto il consenso per il trattamento.

E a livello informatico?
Occorre procedere all’adozione delle “misure minime” previste dall’allegato b del D. Lgs. 196/2003. Si ricordano, tra le altre: l’adozione di procedure di autenticazione informatica, eventualmente con password individuale di otto caratteri minimo; l’adozione di profili di autorizzazione degli utenti; l’obbligo settimanale di copie di backup (salvataggi) degli archivi informatici; l’adozione di sistemi antivirus e anti-intrusione (firewall) da aggiornare periodicamente; seguire specifiche disposizioni per la riutilizzazione o distruzione dei supporti rimovibili contenenti dati sensibili.
Queste misure minime di sicurezza, pur complicando in parte le normali operazioni quotidiane dei piccoli uffici, garantiscono di fatto una maggior sicurezza informatica dell'intera struttura e, al di là degli obblighi di legge, proteggono l'ufficio da possibili furti elettronici di dati. Questa rappresenta una prassi sempre più diffusa nel mondo degli hacker e spesso, viste le scarse misure di sicurezza dei normali PC, questi furti avvengono senza che l'interessato ne venga a conoscenza.

Cosa è il DPS?
E’ il Documento Programmatico sulla sicurezza: è una fotografia delle politiche di sicurezza adottate e da adottare in azienda. Il DPS prevede infatti la pianificazione di tutte le Misure di Sicurezza e fornisce un piano organico delle seguenti attività: elenco dei trattamenti dei dati personali; distribuzione dei compiti e delle responsabilità nell’ambito delle figure preposte al trattamento dei dati; analisi dei rischi che incombono sui dati; misure da adottare per garantire integrità e la disponibilità; criteri e modalità per il ripristino della disponibilità dei dati; previsione di interventi formativi per tutti gli incaricati del trattamento; criteri da seguire per garantire l’adozione delle misure minime in caso di trattamenti di dati affidati all’esterno; criteri per la cifratura/separazione dei dati sensibili dagli altri dati personali dell’interessato.

Ma se non tratto dati sensibili sono comunque tenuto a farlo?
Bella domanda! La legge non è chiara in merito a questo aspetto. Infatti il legislatore afferma all’art. 34 che il DPS deve essere redatto da tutti coloro che trattano dati con strumenti elettronici, successivamente, all’art. 19 dell’allegato b, afferma invece che il DPS è dovuto nel caso di trattamento di dati sensibili e giudiziari.
Di fronte a questa discrasia in cui è incorso il legislatore, l’interpretazione prevalente è quella che afferma che il DPS è dovuto sempre nell’ipotesi di trattamento con strumenti elettronici di qualsiasi tipo di dato e nelle ipotesi di trattamento di dati sensibili e giudiziari sia con sia senza l’ausilio di strumenti elettronici. Rimane fuori l’ipotesi di trattamento di dati senza strumenti elettronici: in questo caso il DPS è facoltativo ma vivamente consigliato.
In effetti il DPS (che va custodito in un luogo sicuro, preferibilmente all’interno dell’azienda, per renderlo disponibile nel caso di controlli da parte della Guardia di Finanza e della Polizia Postale), consente al titolare di provare, con un documento cartaceo, di aver adottato tutte quelle misure volte ad evitare danni derivanti dal trattamento di dati personali altrui, anche in considerazione del fatto che l’attività di trattamento è equiparata dal nostro legislatore (art. 15 del codice) ad un’attività pericolosa di cui all’art 2050 del codice civile con tutte le conseguenze che ne derivano in termini di risarcimento danni e onere della prova.
In definitiva, l’adozione di un aggiornato DPS serve un po’ a tutti i titolari di trattamento di dati a prescindere dall’obbligatorietà o meno dello strumento!

A me sembra un’accozzaglia di regole senza senso! Con tutto quello che ho da fare, ci voleva anche la privacy a complicare ulteriormente il lavoro!
In effetti, leggendo formalmente il codice senza possedere una cultura della sicurezza, le disposizioni possono sembrare un’accozzaglia di formalità burocratiche assolutamente incomprensibili e inapplicabili… e per certi aspetti è così … ma certamente questa normativa ci permetterà di capire come “funziona” la nostra azienda: quali trattamenti effettua, come si proteggono i dati, quanto investiamo per diffondere in azienda una cultura della privacy, ma soprattutto ci permetterà di tutelarci da sanzioni penali e da pretestuose richieste di risarcimento danni provenienti da chi ritiene che abbiamo in qualche modo violato la sua privacy…e non mi sembra poca cosa!


Ma cosa rischio se non mi adeguo?
Le imprese che ancora non si sono adeguate sono esposte a rischi di inadempienze con il pericolo di incorrere in sanzioni amministrative o sanzioni penali a carico dell’azienda quale titolare del trattamento dei dati. Le autorità preposte al controllo ed alla verifica del rispetto della normativa sono la Guardia di Finanza e la Polizia Postale.

A chi mi devo rivolgere per adeguarmi?
Ad un professionista serio, aggiornato e dubitare di chi propone offerte eccessivamente alte o eccessivamente basse per l’adeguamento della vostra azienda. I primi, probabilmente vi rifileranno una check list da compilare e spedire via fax su cui confezioneranno un prodotto “standard” che assolutamente non rispecchierà la vostra realtà aziendale. I secondi sono coloro che hanno individuato nella normativa un modo per far soldi … a vostro scapito! Pretendete un preventivo che descriva esattamente le attività che il consulente andrà a svolgere, con l’indicazione del numero di ore lavoro dettagliate per ciascuna tipologia di attività.